演習の狙い

• 簡易的なセキュリティ監視基盤を実際に構築してもらうことで、構成や動作を理解してもらう
• 製品やサービスを使わずともセキュリティ監視基盤の構築はできるということを体験してもらう

演習のゴール

デモサービスのAPIから取得できる監査ログからアラートを検知し、通知をする。今回、検知対象とするのは以下の通り

• 基礎
  • （あらかじめ用意された）IoC, Indicator of Compromise と監査ログを突合して、IoCであるIPアドレスからのアクセスを検知する
• 応用
  • 不審なログイン試行を検知する
    • ブルートフォース、あるいは辞書攻撃
    • パスワードスプレー攻撃

具体的な作業内容

セキュリティ監視基盤における2つのコンポーネントを実装、デプロイしてもらいます。

• コンポーネントは2つのコンテナイメージとして実装します
  • crawler : デモ用サービスのAPIからログを収集してデータ検索エンジン（今回はBigQuery）に投入する
  • detector : 投入したログと、あらかじめ用意されているIoCのデータを突合し、不審なIPアドレスからのアクセスを検知して、アラートとして発報する（今回はPub/Subに流す）
• 通知まで成功すると、講師が表示しているSlackのチャネルに通知内容が表示されます

事前準備

環境

• gcloud のインストール https://cloud.google.com/sdk/docs/install
• docker のインストール https://docs.docker.jp/desktop/install/windows-install.html
• ローカル開発環境：言語は自由でエディタやruntimeを用意してもらえればOK
• Google Cloudのアカウント作成

学習

• HTTPアクセス、およびGoogle Cloud SDK を使ったコーディングができるようになっていること
  • コンテナイメージをビルドして実行できるならどの言語でも問題ありません
  • Goが比較的サポートしやすいです
• 簡易的なSQL
  • SELECT, JOIN などができればOK
  • 参考文献：https://amzn.asia/d/015iEdJ9